AW: [php] Login + Sicherheit

[Wolfgang Hauck]

Hi Alex,

>ich habe immer noch meine Bedenken wenn ich ein Login per Session,
>oder selbstgenerierten ID's, mit PHP einsetze.

>Dabei wird nat�rlich bei jeder Aktion ein Timestamp und die IP des
>Benutzers �berpr�ft.

Die �berpr�fung der IP ist eine unsichere Sache, die kann n�hmlich vom
Provider w�hrend der Sitzung dynamisch ver�ndert werden. Damit ist dein
Benutzer wieder vor der T�re.

>Wenn ich mir aber vorstelle das mehrere User hinter einem Proxy
>sitzen, und der eine dem anderen die Session-ID abguckt(wie auch
>immer), weil der User kein Cookie hat und diese an die URL angeh�ngt wird.
>Dann k�nnte dieser andere User theorethisch den Login nutzen.

Das stimmt. Wurde aber letzte Woche schon ausf�hrlich diskutiert (mit
L�sungvorschl�gen). Schau mal ins Archiv.

>Gibt es eine sichere M�glichkeit die ihr empfehlen k�nnt? HTACCESS mit
>mod_auth w�re gut, doch bietet leider kaum ein Provider die
>M�glichkeit auf mod_auth zuzugreifen.

siehe oben.

MFG Wolfgang